{"id":136,"date":"2026-06-20T08:54:30","date_gmt":"2026-06-20T08:54:30","guid":{"rendered":"https:\/\/shattered.io\/no\/2026\/06\/20\/ivanti-epmm-zero-day-cvss-9-8-eu-kommisjonen-2026\/"},"modified":"2026-06-20T08:55:53","modified_gmt":"2026-06-20T08:55:53","slug":"ivanti-epmm-zero-day-cvss-9-8-eu-kommisjonen-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/no\/ivanti-epmm-zero-day-cvss-9-8-eu-kommisjonen-2026\/","title":{"rendered":"Ivanti EPMM Zero-Day: CVSS 9.8, EU-Kommisjonen hacket [2026]"},"content":{"rendered":"\n

Ivanti Endpoint Manager Mobile (EPMM) har blitt et gjentakende m\u00e5l for avanserte trusselakt\u00f8rer.<\/strong> I januar 2026 avsl\u00f8rte Ivanti to kritiske null-dagss\u00e5rbarheter, CVE-2026-1281 og CVE-2026-1340, begge med CVSS-score 9.8. Angriperne var allerede i gang med aktiv utnyttelse da avsl\u00f8ringen kom. Uker senere bekreftet EU-kommisjonen, det nederlandske datatilsynet og Judicial Council at de hadde blitt hacket gjennom nettopp disse s\u00e5rbarhetene. For norske virksomheter som bruker Ivanti til mobilenhetsadministrasjon, er konsekvensene direkte og alvorlige.<\/p>\n\n\n\n

Hva er Ivanti EPMM og hvorfor er det et m\u00e5l?<\/h2>\n\n\n\n

Ivanti Endpoint Manager Mobile, tidligere kjent som MobileIron Core, er en plattform for administrasjon av mobile enheter (MDM), mobile applikasjoner (MAM) og mobilt innhold (MCM). L\u00f8sningen brukes av offentlige etater, sykehus, finansinstitusjoner og store bedrifter over hele verden for \u00e5 sentralisere styringen av smarttelefoner, nettbrett og b\u00e6rbare datamaskiner i bedriftsnett.<\/p>\n\n\n\n

Nettopp denne sentraliseringen gj\u00f8r EPMM til et attraktivt m\u00e5l. Den som kontrollerer MDM-serveren kontrollerer i praksis alle tilkoblede enheter: kan slette data, installere applikasjoner, hente e-post og kalenderdata, og i mange tilfeller overv\u00e5ke bevegelsesm\u00f8nstre. CISA-katalogen over kjente utnyttede s\u00e5rbarheter lister over 30 Ivanti-s\u00e5rbarheter som har blitt misbrukt av trusselakt\u00f8rer siden 2021, noe som understreker at produktlinjen er et vedvarende m\u00e5l.<\/p>\n\n\n\n

On-premises EPMM-installasjoner er s\u00e6rlig utsatt, siden de er direkte eksponert mot internett og krever regelmessige, manuelle patcheoppdateringer. Cloud-baserte Ivanti Neurons for MDM var ikke ber\u00f8rt av de aktuelle null-dagss\u00e5rbarhetene.<\/p>\n\n\n\n

CVE-2026-1281 og CVE-2026-1340: Teknisk gjennomgang<\/h2>\n\n\n\n

29. januar 2026 publiserte Ivanti en sikkerhetsr\u00e5dgivning for to kritiske s\u00e5rbarheter i EPMM. Begge er klassifisert som kodeinjektion (CWE-94) og tillater en ikke-autentisert angriper \u00e5 kj\u00f8re vilk\u00e5rlig kode p\u00e5 serveren via fjerntilgang. CVSS-score: 9.8 for begge.<\/p>\n\n\n\n

CVE-2026-1281<\/strong> rammer funksjonen for distribusjon av interne applikasjoner (In-House Application Distribution). Angrepet utnytter en feil i Bash’s aritmetiske ekspansjonsfunksjon: ved \u00e5 injisere spesielt utformede strenger i bestemte API-endepunkter kan angripere tvinge serveren til \u00e5 evaluere og kj\u00f8re ondsinnet kode uten autentisering.<\/p>\n\n\n\n

CVE-2026-1340<\/strong> er en tilsvarende feil i Android File Transfer Configuration-funksjonen, med identisk teknisk mekanisme og alvorlighetsgrad. Rapid7 bekreftet at begge s\u00e5rbarhetene allerede var utnyttet i naturen da Ivanti gikk ut med avsl\u00f8ringen. Ivanti sa selv at angrepene hadde rammet “et sv\u00e6rt begrenset antall kunder”, men dette ble raskt motsagt av hendelsesdata fra Unit 42 og andre sikkerhetsforskere.<\/p>\n\n\n\n

30. januar 2026, bare \u00e9n dag etter avsl\u00f8ringen, var et fungerende proof-of-concept-eksploit tilgjengelig offentlig. Dette akselererte angrepskampanjen dramatisk og tvang sikkerhetsavdelinger verden over til \u00e5 jobbe i helgen for \u00e5 rulle ut midlertidige oppdateringer.<\/p>\n\n\n\n

Bash aritmetisk ekspansjon som angrepsvektor<\/h3>\n\n\n\n

Hadrian Security publiserte en detaljert teknisk analyse som avsl\u00f8rte den eksakte utnyttelsesmekanismen: Bash aritmetisk ekspansjon. Dette er en funksjon der uttrykk p\u00e5 formen $((expression))<\/code> evalueres som matematiske uttrykk av Bash-tolkeren.<\/p>\n\n\n\n

# Bash aritmetisk ekspansjon - normal bruk\necho $((1+1))  # Output: 2\n\n# Med ondsinnet input - kodeinjeksjon via ekspansjon\n# $(($(ondsinnet_kommando_her)))\n# Bash evaluerer kommandoen og setter inn resultatet\n# Dette skjer uten at applikasjonen autentiserer brukeren<\/code><\/pre>\n\n\n\n
I EPMM-konteksten mottok applikasjonsserveren brukerinput som ble sendt gjennom en Bash-evalueringsmekanisme uten tilstrekkelig sanitisering. En angriper kunne konstruere en HTTP-foresp\u00f8rsel med spesielt utformede parametere som, n\u00e5r de ble behandlet av serveren, resulterte i kj\u00f8ring av vilk\u00e5rlig kommandokode med serverens systemrettigheter. Bash aritmetisk ekspansjon er et kjent risikopunkt dokumentert i OWASP-retningslinjer, noe som gj\u00f8r funnet desto mer oppsiktsvekkende i produksjonskoden til en ledende MDM-leverand\u00f8r.<\/p>\n\n\n\n
EU-Kommisjonen og nederlandske myndigheter bekrefter brudd<\/h2>\n\n\n\n
I februar 2026 ble det kjent at angripere hadde utnyttet Ivanti EPMM-s\u00e5rbarhetene til \u00e5 bryte seg inn i noen av Europas mest sensitive institusjoner. EU-kommisjonen, det nederlandske datatilsynet (Autoriteit Persoonsgegevens) og det nederlandske Judicial Council bekreftet alle at de hadde v\u00e6rt utsatt for vellykkede angrep via de aktuelle null-dagene.<\/p>\n\n\n\n
Bruddene hos europeiske offentlige institusjoner er spesielt alvorlige av to grunner. For det f\u00f8rste h\u00e5ndterer disse organisasjonene ekstremt sensitiv informasjon: GDPR-klager, personopplysninger om millioner av europeiske borgere, og interne juridiske dokumenter. For det andre representerer de tillitsankere i europeisk digital infrastruktur. Et vellykket angrep mot EU-kommisjonens MDM-system gir potensielt tilgang til mobile enheter brukt av tjenestemenn og politiske r\u00e5dgivere.<\/p>\n\n\n\n
CSIS (Center for Strategic and International Studies) inkluderte angrepene p\u00e5 EU-kommisjonen og de nederlandske institusjonene i sin katalog over betydelige cyberhendelser for f\u00f8rste halvdel av 2026. Det nederlandske datatilsynet er s\u00e6rlig symbolsk som offer: en av Europas strengeste h\u00e5ndhevere av GDPR ble selv offer for et databrudd via en MDM-plattform som h\u00e5ndterer ansattes mobile enheter.<\/p>\n\n\n\n
\n
“Ivanti EPMM har vist seg \u00e5 v\u00e6re et gjentatt angrepsm\u00e5l som krever en grunnleggende gjennomgang av MDM-arkitektur i europeisk offentlig sektor. Null-dagss\u00e5rbarheter med CVSS 9.8 som rammer autentiseringslogikken er det verst tenkelige scenariet for MDM-plattformer.”<\/p>\nZach Hanley, sikkerhetsforsker ved Horizon3.ai<\/cite>\n<\/blockquote>\n\n\n\n
CISA KEV: Ivanti med 30 pluss utnyttede s\u00e5rbarheter<\/h2>\n\n\n\n
CISA la til CVE-2026-1281 i sin Known Exploited Vulnerabilities-katalog umiddelbart etter Ivantis avsl\u00f8ring 29. januar 2026, og satte en frist p\u00e5 bare tre dager for utbedring: 1. februar 2026<\/strong>. Bindende operasjonsdirektiv 22-01 (BOD 22-01) p\u00e5legger amerikanske f\u00f8derale etater \u00e5 patche alle KEV-listede s\u00e5rbarheter innen fristene, og denne fristen er blant de korteste CISA har satt for en enkelt s\u00e5rbarhet.<\/p>\n\n\n\n
Historikken er nedsl\u00e5ende. CISA-katalogen lister over 30 Ivanti-produkts\u00e5rbarheter som har blitt aktivt utnyttet siden 2021. Produktene som er ber\u00f8rt spenner fra Connect Secure (VPN-gateway) og Policy Secure til EPMM og Neurons for MDM. Dette gj\u00f8r Ivanti til en av de oftest utnyttede programvareleverand\u00f8rene i katalogen.<\/p>\n\n\n\n
Sammenligningsgrunnlaget er tydelig: januar 2025 kom CVE-2025-0282 (CVSS 9.0) i Ivanti Connect Secure, utnyttet av kinesiske trusselakt\u00f8rer identifisert av Mandiant. April 2025 fulgte CVE-2025-22457 (CVSS 9.0, stack-based buffer overflow i Connect Secure), ogs\u00e5 tilskrevet kinesiske akt\u00f8rer av Google Mandiant. N\u00e5, i 2026, er det EPMM sin tur igjen. M\u00f8nsteret er konsistent: Ivanti-produkter avsl\u00f8res som kompromittert, patching tar tid, og europeiske offentlige institusjoner betaler prisen.<\/p>\n\n\n\n
\n
“CISA’s tre-dagers frist for CVE-2026-1281 sender et klart signal om alvorlighetsgraden. Vi ser sjelden at CISA setter frister under en uke. Dette b\u00f8r f\u00e5 alle EPMM-operat\u00f8rer til \u00e5 stanse andre oppgaver og patche umiddelbart.”<\/p>\nCaitlin Condon, sikkerhetsdirekt\u00f8r ved Rapid7<\/cite>\n<\/blockquote>\n\n\n\n
Angrepskampanjen: Unit 42 kartlegger omfanget<\/h2>\n\n\n\n
Palo Alto Networks Unit 42 publiserte en detaljert trusselanalyse i februar 2026 som dokumenterte omfanget av angrepskampanjen mot CVE-2026-1281 og CVE-2026-1340. Teamet sporet aktiv utnyttelse i minst fire land: USA, Tyskland, Australia og Canada. De ber\u00f8rte sektorene inkluderte statlig og kommunal forvaltning, helsevesen, produksjonsindustri, juridiske tjenester og h\u00f8yteknologi.<\/p>\n\n\n\n
Angriperne installerte i mange tilfeller web shells p\u00e5 kompromitterte EPMM-servere, noe som ga vedvarende tilgang selv etter at midlertidige patcher var rullet ut. Web shells er sv\u00e6rt vanskelige \u00e5 oppdage med standard overv\u00e5kingsverkt\u00f8y og krever aktiv s\u00f8king i serverfilsystemet. Et kompromittert MDM-system gir angriperne full kontroll over alle administrerte mobile enheter: de kan distribuere skadelig programvare, trekke ut e-post og kontakter, aktivere kameratilgang og overv\u00e5ke nettverkstrafikk.<\/p>\n\n\n\n
GreyNoise, som overv\u00e5ker internett-skanneaktivitet globalt, rapporterte om en markant \u00f8kning i rekognoseringsaktivitet mot EPMM-endepunkter i ukene forut for Ivantis avsl\u00f8ring. Dette tyder p\u00e5 at trusselakt\u00f8rene hadde identifisert og begynt \u00e5 utnytte s\u00e5rbarhetene betydelig tidligere enn 29. januar 2026.<\/p>\n\n\n\n
Tysklands cybersikkerhetsbyr\u00e5 BSI (Bundesamt f\u00fcr Sicherheit in der Informationstechnik) gikk lenger enn Unit 42 og rapporterte at de hadde bevis for utnyttelse av de aktuelle Ivanti EPMM-s\u00e5rbarhetene tilbake til juli 2025<\/strong>, mer enn seks m\u00e5neder f\u00f8r Ivanti selv gikk ut med en offentlig avsl\u00f8ring. Dette er konsistent med m\u00f8nstre vi har sett i tidligere Ivanti-hendelser, der aktiv utnyttelse har p\u00e5g\u00e5tt lenge f\u00f8r leverand\u00f8ren er klar over problemet.<\/p>\n\n\n\n
\n
“Web shell-implantering etter EPMM-kompromittering er spesielt bekymringsfullt fordi den midlertidige patchen ikke fjerner en allerede installert bakd\u00f8r. Organisasjoner som ikke gjennomf\u00f8rer en full trusseljakts\u00f8k etter patching, kan tro de er trygge mens angripere fortsatt har tilgang.”<\/p>\nAnthony Gantous, trusselforsker ved Unit 42, Palo Alto Networks<\/cite>\n<\/blockquote>\n\n\n\n
N\u00f8kkeltall: Ivanti EPMM-s\u00e5rbarhetene i tall<\/h2>\n\n\n\n
CVE<\/th>CVSS<\/th>Type<\/th>Avsl\u00f8rt<\/th>PoC offentlig<\/th>CISA KEV<\/th>Ber\u00f8rte versjoner<\/th><\/tr><\/thead>
CVE-2026-1281<\/td>9.8 (Kritisk)<\/td>Kodeinjektion (pre-auth RCE)<\/td>29. jan 2026<\/td>30. jan 2026<\/td>Ja (frist 1. feb)<\/td>EPMM < 12.8.0.0<\/td><\/tr>
CVE-2026-1340<\/td>9.8 (Kritisk)<\/td>Kodeinjektion (pre-auth RCE)<\/td>29. jan 2026<\/td>30. jan 2026<\/td>Nei<\/td>EPMM < 12.8.0.0<\/td><\/tr>
CVE-2026-6973<\/td>H\u00f8y<\/td>Uriktig inputvalidering (auth RCE)<\/td>7. mai 2026<\/td>Begrenset<\/td>Under vurdering<\/td>EPMM <= 12.8.0.0<\/td><\/tr>
CVE-2025-4427<\/td>5.3 (Middels)<\/td>Autentiseringsomg\u00e5else<\/td>Mai 2025<\/td>Ja<\/td>Ja<\/td>EPMM < 12.5.0.1<\/td><\/tr>
CVE-2025-4428<\/td>7.2 (H\u00f8y)<\/td>RCE via EL-injeksjon<\/td>Mai 2025<\/td>Ja<\/td>Ja<\/td>EPMM < 12.5.0.1<\/td><\/tr>
CVE-2025-22457<\/td>9.0 (Kritisk)<\/td>Stack buffer overflow (Connect Secure)<\/td>3. apr 2025<\/td>Ja<\/td>Ja<\/td>Connect Secure < 22.7R2.6<\/td><\/tr>
CVE-2025-0282<\/td>9.0 (Kritisk)<\/td>Stack buffer overflow (Connect Secure)<\/td>8. jan 2025<\/td>Ja<\/td>Ja<\/td>Connect Secure < 22.7R2.5<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
2025-kjeden: CVE-2025-4427 og CVE-2025-4428<\/h2>\n\n\n\n
For \u00e5 forst\u00e5 konteksten rundt januar 2026-angrepene er det nyttig \u00e5 se p\u00e5 2025-hendelsene. To Ivanti EPMM-s\u00e5rbarheter ble avsl\u00f8rt i mai 2025: CVE-2025-4427 (CVSS 5.3, autentiseringsomg\u00e5else) og CVE-2025-4428 (CVSS 7.2, remote code execution via Expression Language-injeksjon).<\/p>\n\n\n\n
Kjedet sammen muliggjorde disse to s\u00e5rbarhetene uautentisert fjernkj\u00f8ring av kode, akkurat som januar 2026-nulldagene. Angrepsvektoren var API-endepunktene \/api\/v2\/featureusage og \/api\/v2\/featureusage_history, der inputvalidering fant sted f\u00f8r autentiseringssjekken, og dermed lot angripere injisere skadelig kode uten gyldige p\u00e5loggingsopplysninger. GreyNoise rapporterte om en markant \u00f8kning i skanneaktivitet mot disse endepunktene i ukene forut for avsl\u00f8ringen i 2025, et m\u00f8nster som gjentok seg i forkant av januar 2026-avsl\u00f8ringen.<\/p>\n\n\n\n
De ber\u00f8rte versjonene i 2025 inkluderte 11.12.0.4 og tidligere, samt 12.3.0.1, 12.4.0.1 og 12.5.0.0. Rettede versjoner var 11.12.0.5, 12.3.0.2, 12.4.0.2 og 12.5.0.1. Det faktum at sv\u00e6rt like angrepsmekanismer ble gjentatt bare m\u00e5neder etter 2025-avsl\u00f8ringen tyder p\u00e5 at Ivantis kodebase har systemiske problemer med inputvalidering og autentiseringslogikk i EPMM, snarere enn isolerte kodefeil.<\/p>\n\n\n\n
Norsk og nordisk risiko: Offentlig sektor i skuddlinja<\/h2>\n\n\n\n
Norge og de \u00f8vrige nordiske landene har et stort antall offentlige etater, kommuner og helseforetak som bruker MDM-l\u00f8sninger for \u00e5 administrere mobile enheter. Ivanti EPMM er i bruk i deler av Skandinavia, og de aktuelle s\u00e5rbarhetene rammer alle on-premises installasjoner uavhengig av geografi.<\/p>\n\n\n\n
Ivanti EPMM-problemet kommer i en periode der norsk og nordisk offentlig sektor allerede er under betydelig press fra statlige og kriminelle trusselakt\u00f8rer. I august 2025 bekreftet norske myndigheter at et russisk statsst\u00f8ttet akt\u00f8rnett hadde st\u00e5tt bak angrepet p\u00e5 Bremanger-demningen i april 2025, der angriperne kortvarisk tok kontroll over systemer knyttet til vanninfrastruktur. I 2026 bekreftet PST at kinesiske akt\u00f8rer knyttet til Salt Typhoon-operasjonen hadde rettet angrep mot norsk telekommunikasjonsinfrastruktur.<\/p>\n\n\n\n
Nordisk Cyberrapport 2026 dokumenterer 166 bekreftet cyberhendelser mot nordiske m\u00e5l i 2025, der offentlig sektor, helsevesen og kritisk infrastruktur er de hyppigst angrepne sektorene. MDM-plattformer som Ivanti EPMM representerer en s\u00e6rlig risiko fordi de administrerer enhetene til de ansatte med st\u00f8rst tilgang til sensitive data: toppledere, politikere og sikkerhetsklarerte tjenestemenn.<\/p>\n\n\n\n
Nasjonal sikkerhetsmyndighet (NSM) har i sin risikobilde for 2026 understreket at kompromittering av administrasjonsplattformer, herunder MDM-systemer, er et prioritert m\u00e5l for statlige trusselakt\u00f8rer. NSM anbefaler alle virksomheter med samfunnskritiske funksjoner \u00e5 gjennomf\u00f8re en inventar over alle eksponerte administrasjonsgrensesnitt og prioritere patching av disse foran ordin\u00e6re applikasjonssystemer.<\/p>\n\n\n\n
Ivantis respons: Midlertidig patch og permanent l\u00f8sning<\/h2>\n\n\n\n
Ivanti reagerte p\u00e5 avsl\u00f8ringen 29. januar 2026 med \u00e5 publisere midlertidige RPM-patcher som kunne installeres p\u00e5 eksisterende EPMM-installasjoner uten full oppgradering. Patchene adresserte s\u00e5rbarhetene i b\u00e5de CVE-2026-1281 og CVE-2026-1340, men representerte ikke en permanent l\u00f8sning.<\/p>\n\n\n\n
Den permanente rettingen ble inkludert i versjon 12.8.0.0, annonsert for lansering i Q1 2026. Ber\u00f8rte versjoner inkluderte alle on-premises EPMM-installasjoner frem til og med versjon 12.7.x. Cloud-basert Ivanti Neurons for MDM, samt Ivanti EPM og Ivanti Sentry, var ikke ber\u00f8rt.<\/p>\n\n\n\n
I mai 2026 avsl\u00f8rte Ivanti ytterligere fem h\u00f8y-alvorlighetss\u00e5rbarheter i EPMM, inkludert CVE-2026-6973, som var under aktiv utnyttelse. Denne s\u00e5rbarheten krevde autentisering med administratorrettigheter for vellykket utnyttelse, noe som reduserer den praktiske risikoen sammenlignet med januar-nulldagene. I tillegg ble CVE-2026-5786, CVE-2026-5787, CVE-2026-5788 og CVE-2026-7821 patchet, som potensielt muliggjorde rettighetseskalering, sertifikatmisbruk og uautorisert metodetilgang.<\/p>\n\n\n\n
MDM-markedet: Ivanti EPMM mot alternative plattformer<\/h2>\n\n\n\n
Ivantis s\u00e5rbarhetsproblemer har \u00e5pnet en debatt om hvilke MDM-plattformer norske og nordiske virksomheter b\u00f8r vurdere. Markedet domineres av fem store leverand\u00f8rer, og sikkerhetshistorikken varierer betydelig.<\/p>\n\n\n\n
Plattform<\/th>Distribusjonsmodell<\/th>CISA KEV-oppf\u00f8ringer<\/th>Sist kjente null-dag<\/th>Patchingsmodell<\/th><\/tr><\/thead>
Ivanti EPMM<\/td>On-premises \/ Cloud<\/td>30+<\/td>Januar 2026 (CVSS 9.8)<\/td>Manuell (on-prem)<\/td><\/tr>
Microsoft Intune<\/td>Cloud-only<\/td>0 (EPMM-klasse)<\/td>Ikke bekreftet<\/td>Automatisk<\/td><\/tr>
Jamf Pro<\/td>Cloud \/ On-premises<\/td>1<\/td>2024<\/td>Manuell \/ Automatisk<\/td><\/tr>
VMware Workspace ONE<\/td>Cloud \/ On-premises<\/td>4<\/td>2025<\/td>Manuell \/ Automatisk<\/td><\/tr>
Mosyle<\/td>Cloud-only<\/td>0<\/td>Ikke bekreftet<\/td>Automatisk<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
Cloud-only MDM-l\u00f8sninger som Microsoft Intune og Mosyle skiller seg ut ved at de automatisk mottar sikkerhetsoppdateringer uten at kundene trenger \u00e5 ta handling. Intunes integrasjon med Azure Active Directory og Conditional Access gj\u00f8r den til et naturlig valg for Microsoft 365-tunge organisasjoner. Ulempen er at cloud-only l\u00f8sninger krever internettforbindelse og involverer tredjepartsh\u00e5ndtering av data, noe som kan by p\u00e5 utfordringer for organisasjoner med strenge datasuverenitetskrav.<\/p>\n\n\n\n
VMware Workspace ONE, n\u00e5 under Broadcom etter oppkj\u00f8pet i 2023, har hatt sin del av sikkerhetsproblemer, men ingen med omfanget av Ivantis EPMM-serie. Jamf Pro er sv\u00e6rt popul\u00e6r i Apple-tunge milj\u00f8er og har generelt god sikkerhetshistorikk.<\/p>\n\n\n\n
BSI, ENISA og europeisk koordinert respons<\/h2>\n\n\n\n
Tysklands BSI gikk tidlig ut med advarsler etter at intern etterretning tydet p\u00e5 at EPMM-utnyttelse hadde p\u00e5g\u00e5tt siden juli 2025. BSI er en av Europas mest ressurssterke cybersikkerhetsmyndigheter og har etablerte kanaler for informasjonsdeling med s\u00f8sterorganisasjoner i Norden, inkludert NSM i Norge, NCSC i Sverige, CERT-FI i Finland og CFCS i Danmark.<\/p>\n\n\n\n
EU-byr\u00e5et ENISA, som koordinerer cybersikkerhetsarbeid p\u00e5 tvers av EU-landene, inkluderte Ivanti EPMM-s\u00e5rbarhetene i sitt Early Warning System umiddelbart etter Ivantis avsl\u00f8ring. For E\u00d8S-land som Norge, som har tett sikkerhetssamarbeid via NIS2-direktivet (implementert i norsk lov som digitalsikkerhetsloven), betyr dette at informasjon om s\u00e5rbarhetene og kjente indikatorer p\u00e5 kompromittering ble delt raskt gjennom etablerte kanaler.<\/p>\n\n\n\n
NIS2-direktivet, implementert i norsk lovgivning, stiller krav til at virksomheter innen kritiske sektorer rapporterer sikkerhetsbrudd innen 24 timer (forel\u00f8pig varsel) og 72 timer (detaljert rapport). Organisasjoner som ble rammet av Ivanti EPMM-brudd og faller under NIS2-jurisdiksjon, var forpliktet til \u00e5 varsle tilsynsmyndigheter og i mange tilfeller ber\u00f8rte parter. For det nederlandske datatilsynet, som selv er NIS2-relevant virksomhet, er den ironiske situasjonen av \u00e5 m\u00e5tte varsle om et eget brudd ikke ubetydelig.<\/p>\n\n\n\n
Hva b\u00f8r norske virksomheter gj\u00f8re umiddelbart?<\/h2>\n\n\n\n
For norske virksomheter som bruker Ivanti EPMM on-premises er tiltakslisten klar og hastepreget. Sikkerhetsavdelinger b\u00f8r behandle CVE-2026-1281 og CVE-2026-1340 som en kritisk hendelse, ikke en rutineoppgave i neste patchesyklus.<\/p>\n\n\n\n